Gli attacchi DDoS (Distributed Denial of Service) mirano a rendere irraggiungibile un servizio od un sito web: l’obiettivo viene generalmente perseguito effettuando, in rapidissima successione, un numero talmente elevato di connessioni verso il server di destinazione così da mettere in crisi quest’ultimo. Per rendere efficace l’aggressione, viene spesso impiegata una batteria di sistemi “zombie” (da qui l’uso del termine “Distributed”) ossia “distribuito”) infettati ad esempio da malware. È il caso dei sistemi che, senza la consapevolezza da parte dei legittimi proprietari, sono divenuti parte di una botnet: uno o più malintenzionati possono impartire comandi ai sistemi infettati e scatenare, per esempio, un attacco DDoS verso un sito web-vittima.
Secondo Arbor Networks, gli attacchi DDoS si sono stabilizzati in termini di dimensioni ma sono diventati sempre più complessi; data center e servizi cloud costituiscono infatti bersagli particolarmente interessanti per i criminali informatici. Gli esperti della società – oggi tra i maggiori produttori di soluzioni per la gestione e la sicurezza di rete rivolte ai data center di nuova generazione e ai carrier di tutto il mondo, tra cui la maggior parte degli ISP mondiali e molte delle più grandi reti aziendali attualmente operative – parlano di attacchi DDoS che bersagliano l’infrastruttura informatica a più livelli, compreso quindi il livello applicativo. Gli attacchi DDoS, quindi, non cercano di esaurire solamente le risorse di rete ma vengono sferrati anche nei confronti di servizi ed applicazioni web.
Data center e servizi cloud sono sempre più colpiti. Aumentando il numero di aziende che spostano i propri servizi sul cloud occorre essere consapevoli dei rischi che si condividono con altri e delle possibilità di subire danni collaterali. Poiché i risultati dello studio di quest’anno – spiegano i tecnici di Arbor – indicano come i siti di e-commerce e online gaming siano i bersagli più comuni, trovarsi nel medesimo data center di uno di essi comporta un certo rischio.
Oltre all’importanza di fronteggiare gli attacchi DDoS, legata a doppio filo vi è una priorità: individuare e “neutralizzare” le macchine infette, smascherare quelle che sono state inserite in reti di bot e comunque quelle che sono state in qualche modo oggetto d’attacco. I risultati dell’indagine recentemente condotta da Arbor hanno evidenziato una crescente “preoccupazione per le macchine colpite da bot o comunque compromesse che risiedono nelle reti dei provider. L’aumento dei sistemi infestati da bot non sorprende considerando la quantità e la complessità delle varianti di malware esistenti, il loro ritmo di evoluzione e la conseguente incapacità di IDS e sistemi antivirus di fornire una protezione completa contro di essi. Guardando al futuro si nota una preoccupazione anche maggiore nei confronti di APT, spionaggio industriale, esfiltrazione di dati e attività di talpe interne“.
L’ultimo report di Arbor pone anche l’accento sul tema BYOD (Bring Your Own Device), acronimo che viene da qualche tempo utilizzato per riferirsi all’abitudine del personale di portare ed usare i propri dispositivi mobili fruendo dell’infrastruttura e della connettività aziendale. Secondo Arbor, il modello BYOD – se non correttamente gestito – pone numerose problematiche: i dispositivi mobili potrebbero essere sfruttati da parte di malintenzionati come testa di ponte per aggredire le workstation aziendali.
“Metà degli intervistati ha riferito di ammettere l’uso di dispositivi personali sulle proprie reti. Solo il 40% però dispone di strumenti atti a monitorare tali dispositivi. Inoltre, un limitato 13% blocca in maniera proattiva l’accesso ad applicazioni e siti di social networking“, si legge sul documento diffuso da Arbor.
Per approfondire ulteriore queste tematiche, abbiamo posto alcuni quesiti a Marco Gioanola consulting engineer presso Arbor Networks.
Quali sono le strutture e le aziende che sono più frequentemente bersaglio di attacchi DoS?
Marco Gioanola: L’ultima edizione del Security Report di Arbor riporta, sorprendentemente, l’online gaming al secondo posto nelle motivazioni dietro gli attacchi DDoS. La cosa è sorprendente nel senso che i giochi online sono l’unico settore economico esplicitamente menzionato tra le risposte, ma è noto che i siti di gioco multiplayer o anche semplicemente i forum di gioco online sono spesso bersaglio di attacchi. Tutti sappiamo, inoltre, che i siti istituzionali, o di partiti politici, o più recentemente delle grandi banche attirano attacchi più o meno “politicizzati”. Per il resto è business as usual: gli attacchi seguono i soldi, e quindi i siti di scommesse online o gioco d’azzardo sono tra i più bersagliati, come anche i siti pornografici.
Quanto è sentito il problema a livello italiano?
M.G.: Rispetto a qualche anno fa la situazione è migliorata, e tutti i maggiori Internet Service Provider oggi hanno ben chiaro che gli attacchi DDoS sono un problema reale. Purtroppo noto che le aziende, anche di grandi dimensioni, tendono spesso ancora a sottovalutare la minaccia, convincendosi ad esempio che raddoppiando la banda a disposizione o acquistando un load balancer si possa assorbire l’effetto di un attacco DDoS. Mi sarei aspettato più interesse sul tema soprattutto da parte di chi fa e-commerce.
Quali sono gli anelli più deboli della catena? Nel caso di attacchi DoS si parla solitamente di infrastrutture di rete ma poco di configurazioni lato server ed applicazioni web…
M.G.: La situazione italiana soffre di un generale nanismo rispetto ai mercati Internet più avanzati, come quelli del Nord Europa o degli USA, quindi è difficile puntare il dito su di un aspetto in particolare. È vero che a volte i server e gli stessi apparati di sicurezza preposti ad offrire protezione mancano di configurazioni basilari per contrastare gli attacchi DDoS, ma d’altro canto ciò è anche comprensibile: l’obiettivo primario del Web Admin è l’efficienza prestazionale, e spesso cercare di irrobustire il sistema va in direzione opposta. È inoltre vero che molti di questi sforzi “lato server” possono facilmente rivelarsi inutili, a fronte delle dimensioni e dell’intelligenza raggiunta dagli attacchi DDoS: è per questo che noi sosteniamo con forza che questa minaccia vada mitigata con apparati dedicati.
Quali gli strumenti da utilizzare per una difesa proattiva e per l’intervento in situazioni di emergenza (quando l’attacco è ormai in corso)?
M.G.: Se non si dispone di apparati di mitigation intelligente, è necessario essere pronti a prendere decisioni drastiche, come ad esempio il blocco totale del traffico proveniente da ampie parti di Internet (ad esempio, permettendo solo il traffico proveniente da indirizzi IP italiani), o il blackholing degli indirizzi sotto attacco. Senza una minima preparazione, però, è possibile fare ben poco: deve essere disponibile un canale preferenziale di colloquio con l’ISP, al fine di cercare di filtrare il traffico il più a monte possibile, come è anche necessario preparare un “piano B” che ad esempio preveda lo spostamento dei servizi Internet su un sito alternativo. Stiamo comunque parlando di misure di emergenza, un po´ come contrastare l’alluvione con paletta e secchiello. Senza strumenti opportuni di visibilità che permettano di identificare le sorgenti e la natura dell’attacco, e senza funzioni di mitigation intelligente, gli sforzi di troubleshooting occuperanno ore ed ore, rischiando peraltro di essere vani.
Quali suggerimenti vi sentireste di offrire ai responsabili aziendali in materia di BYOD? Qual è, secondo voi, la migliore politica per la gestione dei dispositivi mobili dei dipendenti a livello aziendale?
M.G.: Da anni sosteniamo che il primo passo debba essere quello della visibilità. Dovremmo aver ormai imparato che pensare di riuscire a impedire l’uso di apparati “non approvati” è mera illusione: è quindi necessario monitorare, rilevare accessi e comportamenti anomali, e rivedere costantemente le proprie policy di sicurezza dei dati a fronte delle evidenze emerse. Il problema del BYOD è un problema di mancato controllo in primo luogo perché non è possibile controllare ciò che non vediamo nemmeno.